Yüksek lisans’ta aldığım Kriptoloji dersi ile alakalı aldığımız özet notları paylaşmak istedim.
KRİPTOLOJİ ÖZETİ
Kriptoloji
Kriptoloji kriptografi ve kriptanaliz –kriptografik algoritmalarını analizleri- ile ilgili bir bilim dalıdır. -gizli yazıları, şifreli belgeleri çözmeyle uğraşan bilim.-gizli yazıları, şifreli belgeleri ele alan inceleme. Kriptoloji, şifre ilmidir. Çeşitli iletilerin, yazıların belli bir sisteme gore şifrelenmesi, bu mesajların güvenlikli bir ortamda alıcıya iletilmesi ve iletilmiş mesajın deşifre edilmesidir.
Günümüz teknolojisinin baş dondurucu hızı göz önüne Alındığında, teknolojinin gelişmesiyle birlikte ortaya çıkan güvenlik açığının da taşıdığı önem ortaya çıkmaktadır.
Kriptoloji; askeri kurumlardan, kişiler arası veya özel devlet kurumları arasındaki iletişimlerden, sistemlerin oluşumunda ve işleyişindeki güvenlik boşluklarına kadar her turlu dalla alakalıdır
Kriptografi, haberleşmenin güvenliğini üçüncü, kotu niyetli taraflara karşı sağlamak için uygulama ve teknikleri içeren çalışmaların bütününü ifade eder. Kriptoloji = Kriptografi + Kriptoanaliz. Kriptoloji bilimi kendi içerisinde iki farklı branşa ayrılır. Bunlar Kriptografi; şifreli yazı yazma ve Kriptoanaliz; şifreleri cozme ya da analiz etmedir. Kriptoloji, cok eski ve renkli bir gecmişe sahiptir. Tarihten günümüze kadar, bazı şifreleme
Teknikleri şunlardır: Sezar şifrelemesi Rotor makinesi (Enigma) Acık anahtarlı şifreleme Cırpı fonksiyonları
Veri gizleme teknikleri
Bilgi Güvenliği
Bilgi guvenliği icin verinin yetkisiz değiştirilmeye, kullanılmaya, ifşa edilmesine, incelenmesine, kaydedilmesine, hasar verilmesine karşı koruma yontemleri (guvenlik hedeflerine ulaşılarak) çalışılır Bilgi güvenliği, bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere asar verilmesinden koruma,veya bilgilere yapılacak olan izinsiz erişimleri engelleme işlemidir .Bilgi guvenliği, bilgisayar guvenliği ve bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır. Bu alanlar alakalıdırlar ve mahremiyetin, butunluğun ve bilginin ulaşılabilirliğinin korunması hususunda ortak hedefleri paylaşırlar.
Turk Standartları Enstitusu TSE tarafından Turkceye çevrilerek yayınlanan TS ISO/IEC 27001:2005 Bilgi Guvenliği Yonetim Sistemi Standardı, bilgi guvenliğini uc başlık altında inceler: Gizlilik: Bilgilerin yetkisiz erişime karşı korunması Butunluk: Bilgilerin eksiksiz, tam, tutarlı ve doğru olması Kullanılabilirlik: Bilgilere yetkililerce ihtiyac duyulduğunda erişilebilir olması .Gizlilik: Bilgilerin yetkisiz erişime karşı korunması Butunluk: Bilgilerin eksiksiz, tam, tutarlı ve doğru olması Kullanılabilirlik: ilgilere yetkililerce ihtiyac duyulduğunda erişilebilir olması
Ağ Güvenliği
Ağ guvenliğinde, ağ erişimli sistemlere ve kaynaklara yetkisiz erişimleri izlemek ve onlemek icin uygulanan yontemler (Kriptografi algoritmaların ağ protokollerinde kullanımı vb.) incelenir. Ağ güvenliği genel olarak organizasyonun veri kaynaklarını basit kullanıcı hatalarından ve kotucul ataklardan korumak demektir.
Sağlayıcı, ağ güvenliği alanında; Güvenlik analizi ,Güvenlik kontrolleri, iyileştirme ve güncelleme, Servislerinin yanı sıra; Firewall, Ağ tabanlı IPS, VPN, Secure Web Gateway, Veri Sızıntı Koruması (DLP), İkili kimlik doğrulama (2F Authentication),Anti-Virus ve Anti-Spam (ezberlemeye gerek yok sadece birkaç tanesini bilmek yeterli )
Günümüzde kriptografik sistemler
Bugun, Kriptografi cok geniş uygulama alanlarına dahil olarak gunluk hayatın onemli bir parcası olmuştur:
•sim kartlar,
•cep telefonları,
•uzaktan kumandalar,
•online bankacılık,
•online alışveriş,
•uydu alıcıları,
Bu bolumun sonunda, Kriptolojinin onemini kavramış olmamız gerekmektedir. Kriptoloji ise Kriptografi ve Kriptoanaliz –Kriptografi algoritmalarını analizleri- ile ilgili bir bilim dalıdır. Kriptografi, haberleşmenin guvenliğini ucuncu, kotu niyetli taraflara karşı sağlamak icin uygulama ve teknikleri içeren calışmaların butununu ifade eder. Bilgi guvenliği icin verinin yetkisiz değiştirilmeye, kullanılmaya, ifşa edilmesine, incelenmesine, kaydedilmesine, hasar verilmesine karşı koruma yontemleri (guvenlik hedeflerine ulaşılarak) calışılır. Ağ guvenliğinde, ağ erişimli sistemlere ve kaynaklara yetkisiz erişimleri izlemek ve onlemek icin uygulanan yontemler (Kriptografi algoritmaların ağ protokollerinde kullanımı vb.) incelenir.
Değerlendirme Soruları
1. Kriptoloji nedir ?
2. Kriptografi nedir ?
3. Bilgi Guvenliği nedir ?
4. Ağ Guvenliği nedir ?
5. Gunumuzde kriptografi sistemler nelerdir ?
2.1.1 Gönderici
Gonderici, duygu duşunce ve isteğin aktarılmasında sözü soyleyen kişi veya topluluklara denir.
2.1.2 Alıcı
Alıcı, iletilen sözü alan kişiye veya topluluğa denir.
2.1.3 Güvenli Haberleşme Kanalı
Gonderici ile alıcı arasındaki iletinin gönderilme şekline kanal denmektedir.
2.1.4 Açık Metin
İleti, gonderici ile alıcı arasında aktarılmakta olan duygu, duşunce ya da isteğe denmektedir.
2.1.5 Açık Metin Değişmiş Hali
İleti, gonderici ile alıcı arasında aktarılmakta olan duygu, duşunce ya da isteğe denmektedir.
2.2.1 Güvenlik Hedefleri
Güvenlik hedeflerine
– Gizlilik (mahremiyet) -confidentiality-,
– butunluk -integrity-,
– sureklilik -availability,
– kimlik denetimi (doğrulama) -authentication-,
– inkar edilemezlik -non-repudiation-,
– izlenebilirlik –accountability ulaşılmasına sağlayan kriptografik algoritmalar, guvenlik protokollerin
bileşenleri olarak haberleşmenin mahfuz kalabileceği kotu niyetli etkileri onlemek icin kullanılırlar.
2.2.2 Bilgi Güvenliği Hedefleri
● Gizlilik: bilgiye erişim yetkisine sahiplerin erişim sağlamak
● Butunluk: bilginin değiştirilme veya yok edilmeye karşı korunması (bilgini kaynağını doğrulayarak )
● Sureklilik: Zamanında ve guvenilir şekilde bilgi kullanımının Sağlanması
● Kimlik denetimi: kullanıcıların iddia ettikleri kullanıcılar olduğunun ve bir sisteme erişen verinin guvenilir kaynaktan
geldiğinin kontrolu.
● İnkar edilemezlik: oluşturulan kanıtlar yardımıyla veri gönderen veya alanın veri aktarımı veya alımı yaptığını inkar
etmesini engellemek.
● İzlenebilirlik: bir guvenlik ihlali yapıldığında sorumlusunu ortaya cıkarmak icin kullanıcı işlemlerinin takibinin yapılmasının sağlanması – İnkar edilemezliği, caydırmayı, ihlal tespitini ve önlenmesini destekler
2.2.4 Gizlilik İhlali
Haberleşme kanalını dinleyen saldırgan gonderici ile alıcı arasındaki mesaj trafiğini dinleyebilir ve elde ettiği mesajları okuyarak bu haberleşmenin gizliliğini bozar. Bu tehdit dinleme tehdidi olarak bilinir.
2.2.6 Bütünlük İhlali
Haberleşmeye mudahale edip gondericinin mesajlarını değiştiren saldırgan, alıcıya giden mesajı istediği şekle
sokabilir. Bu tehdit mesajın butunluğunu bozan değiştirme tehdididir
2.2.8 Kimlik Doğrulama İhlali
Saldırgan, alıcıya gondericinin kimliğini taklit ederek bir mesaj gonderebilir. Bu durumda eğer alıcı guvenilir bir
kimlik doğrulaması yapmıyorsa yanlış mesajlarla kandırılabilir.
2.2.10 İnkar Edemezlik İhlali
Mesajı gonderen veya alan tarafın bu işi yaptığını inkar etmesi soz konusu olabilir. Bu kotu niyetli girişimi boşa çıkaracak mekanizmalara ihtiyac vardır.
2.2.12 Süreklilik İhlali
Saldırgan, haberleşen iki taraf arasındaki hattı veya haberleşme araclarını kullanılmaz hale getirerek
haberleşmenin sürekliliğini engellemeye calışır.
2. 3.2. OpenPGP
● Pretty Good Privacy (PGP) : veri şifreleme ve deşifreleme yazılımıdır Haberleşme icin veri gizliliği ve kimlik denetimi sağlar. PGP dosya, e-posta, klasor ve disk bolumlerinin dijital imzalama, şifreleme ve eşifrelemesinde kullanılır.
1991 de Phil Zimmermann tarafından üretildi .
Kimlik Denetimi (Authentication)
– Gizlilik (Confidentiality)
– Sıkıştırma (Compression)
– E-posta uyumluluğu (E-mail compatibility)
– Parcalama ve birleştirme
(Segmentation and Reassembly)
Kullanıcı sadece ilk iki işlemi gozlemler.
2. 3.4. Kimlik Doğrulama Basamakları
PGP: Kimlik Doğrulama basamakları
• Dijital imza oluşturmakla aynıdır:
• Gönderen
– Mesaj M yi yaratır.
– Ozet fonksiyonu H ile mesajın ozetini H(M)
oluşturur
– H(M), Gondericinin Kapalı anahtarı (GK) ile şifrelenir ve
imza oluşur.
– Mesaj M nin sonuna bu imza eklenir.
Özetle pgp gizliliği sağlar .
2. 3.5. Gizlilik
PGP: Gizlilik
• Gönderen
– Mesajı ve mesaja ozgu gizli simetrik şifreleme anahtarını (session key) oluşturur.
– Mesajı blok şifreleme (EC) algoritmalarından biri ile şifreler.
– Gizli anahtarı, Alıcının acık anahtarı ile şifreler
-anahtar paylaşımı-
– Şifrelenen mesaj ve gizli anahtar iletilir.
• Alıcı
– Gizli anahtarı, acık anahtarı ile deşifrelime yaparak kurtarır.
– Gizli anahtar ile şifreli mesajı deşifreler.
4.1 Kriptoloji Tarihçe
crypto- veya calypto – latincede gizli, bilinmeyen anlamındadır. “Cryptology‟ ise, bilinmeyene dair çalışma, gizlilik çalışması demektir . Dilimiz karşılığıyla Kriptoloji’ kavramı, bünyesinde kripto grafi, yani şifreleme bilimi, ve kripto sistemler n kırılması i le il gile ne n krip tanaliz çalışma alanlarını barındırmaktadır
Bununla beraber pek çok zaman kriptografi ve kriptoloji birbiri yerine geçecek şekilde kullanılmaktadır. Kriptografinin tarihte görüldüğü ilk belirgin örnek olarak Julius Caesar‟ın MÖ 60-50 yıllarında roma alfabesindeki harflerin yerini değiştirerek oluşturduğu şifreleme yöntemini devlet haberleşmesinde kullanması örnek gösterilir. Bu yöntem şifrelenecek olan metindeki her harfin alfabede kendisinden 3 sonraki harfle değiştirilmesine dayanmaktadır.
Kriptografi biliminin gelişimi her ne kadar bin yıllar boyunca sürmüş olsa da, asıl ivmelenme, son yüzyılda ve bilhassa bilgisayar çağı olarak nitelendirebileceğimiz son 50 yılda gerçekleşmiştir. Örneğin, 1920‟li yıllarda FBI, içki kaçakçılarının haberleşmesini çözebilmek bir araştırma ofisi kurmuştur. Hemen arkasından 2. Dünya savaşında kriptolojinin önemli bir rol oynadığını görüyoruz:
Günümüz dünyasına dönersek, kriptografinin daha yoğun bir şekilde kullanıldığı su götürmez bir gerçek olarak karşımıza çıkıyor. Pek çoğumuz haberdar olmasak da internette bağlandığımız bilgisayarımıza veya elektronik cihazımıza indirilen ve bizim aracılığımızla gönderilen şiflenememiş metinler sunucuya ulaşana kadar aracı network cihazlarının sistem yöneticileri gibi kişilerce rahatlıkla izlenebilir ve hatta üzerinde değişiklikler yapılabilir. Kişisel veya kurumsal açıdan hassas ve gizlilik arzeden bilgilerin iletiminde bize yardımcı olmak üzere tasarlanmış şifreleme algoritmaları mevcuttur.
İnternetle sınırlı olmasa da, örnek olarak bahsetmek gerekirse https:// kısaltması ile başlayan sitelere
girdiğimiz zaman
farkında olmasak da internet tarayıcılarımızdaki
SSL
implementasyonu
kullanmaktayız. SSL (Secure
Sockets Layer), tarayıcı ve bağlanılan sunucu arasında şifrelenmiş haberleşme sağlayan bir standartdır. Günümüzde, yazılım geliştiriciler içi n Java
gibi pek çok programlama dilinde hazır kütüphaneleri sunulan ve ilk olarak bir zamanların efsane internet tarayıcısı Netscape için geliştirilmiş olan SSL‟in
en
temel kullanım örneği olarak e-postalarımızın şifreli şekilde
iletimi örnek gösterilebilir. Nitekim günümüz tarayıcıları tarafından
kullanılan elektronik bankacılık yazılımları
da
bu teknolojiden
yararlanmaktadır.
Kriptolojinin günümüzde kullanıldığı alanlar : E imza , SSL sertifikaları , internet üzerinden haberleşme mesajları , bankacılık sistemi vs haberleşme olan her teknolojik sistemde , e ticaret , sim kartlar , uzaktan kumanda , uydu alıcısı yapay zeka cihazları kullanılmaktadır
Klasik kriptografik sistemlere ; enigma , Matematik nedir?
Varlıkların sayısı, biçimi ve düzenlenmesi mantığı ile ilgilenen bir bilim dalı Niceliklerin, yapıların, uzayın ve değişikliğin irdelendiği bir bilim dalı. Sayma, hesaplama, ölçüm ve fiziksel nesnelerin şekilleri ve hareketleri için mantıksal muhakeme ve soyutlaması ile gelişmiştir. Ölçü, özellik ve nesneler arasındaki ilişkiler bilgisi üzerine kurulmuş bir sistem. Sistem kuramsal veya uygulamalı olarak cebir, geometri, tirgonometri, istatistik ve hesabı (Calculus) içerir.
Bilişim bilgi ve bilginin otomatik olarak işlenmesiyle ilgilenen bir yapısal bilim dalıdır.
Matematiğe benzer şekilde Bilişim Bilimi (Enformatik) bilginin, özellikle elektronik makineler aracılığıyla, düzenli ve ussal biçimde işlenmesi bilimidir. Bilişim Bilimi, bilgi işlemlerinde uygulanabilen (soyut) matematiksel yapıları inceler. Bir yandan (matematiğin alt dalı olarak) temel aksiyomatik matematiksel teoriler üretmek, ikinci olarak tüm diğer uzmanlık dallarının nesnelerini ve süreçlerini çözümleyip soyut matematiksel yapılara ve algoritmalara dönüştürmek ve üçüncü olarak soyut matematiksel yapıların aktarılabileceği, saklanabileceği ve algoritmalarla otomatik olarak işlenebileceği makineleri tasarlamaktır. Tarihsel olarak “matematik” “bilişimi”, “bilişim” de “matematiği” etkilemiş ve tetiklemiştir.
İnsan doğası, ilk çağlarda hesaplama gereksinimini hissetmiş ve hesaplamayı önce parmakları kullanarak daha sonra da bir takım araç-gereçlerle (ilk bilgisayarlar) yapma uğraşı içerisinde olmuştur.
Abaküs ve çeşitleri Napier kemikleri Pascaline
Günümüzde Sembolik hesaplama araçlarının ortaya çıkması ile birlikte, matematikçiler, teoremlerin ispatlarını bu araçlarla bilgisayarlarda yapmaya başladılar. Daha sonraki dönemlerde ise, sembolik hesaplama araçları, matematik eğitimine destek olarak üniversitelerde kullanılmaya başlandı.
Kişisel bilgisayarların 1980’li yılların hemen başında geliştirilmesi, bilgisayarların artık toplumsal işlevleri yükleneceğinin ilk habercisi oldu. 1990’a kadar, bireylere hizmet veren bu küçük bilgisayarlar, daha sonra, İnternet teknolojilerinin kullanımı ile toplumlara hizmet vermeye başladı.
İletişim, bilgisayarların ortaklaşa kullanımı, veri paylaşımı beraberinde verinin güvenliği gibi kavramların ortaya çıkmasına neden oldu. Daha önce, teleks gibi sistemlerde güvenli veri/mesaj iletilerinde kullanılan şifre (kripto), İnternet güvenliğinde ve ulusal güvenlikte çok önemli bir konu, ve matematiğin bir dalı olarak gelişti.
Kurtuluş savaşında kağıda limon suyu ile yazılan yazı , ateşe tutulduğunda yazıların ortaya çıktığı yöntem uygulanmıştır
Simetrik Şifreleme Algoritmaları
Simetrik
şifreleme
algoritmaları
şifreleme ve deşifreleme
işlemleri için
tek bir
gizli anahtar kullanmaktadır. Şifreleme işlemlerini gerçekleştirdikten sonra şifreli metni alıcıya gönderirken şifreli metinle birlikte gizli anahtarı da alıcıya güvenli bir şekilde göndermesi gerekmektedir. Simetrik
şifreleme algoritmaları
çok hızlı
şifreleme ve deşifreleme işlemleri
gerçekleştirebildiğinden dolayı günümüzde çok yaygın olarak
kullanılmaktadır.
Simetrik şifrelemede genelde şifreleme işlemi bir anahtar (key) marifetiyle olur. Bu anahtar iki taraf tarafından
daha önceden bilinen bir bilgidir ve bir tarafın anahtar ile şifrelediği bilgi diğer taraftaki anahtar ile açılabilir.
Simetrik şifrelemenin tarafları
Aşağıdaki şekilde basit bir simetrik şifrelemede bulunan iki taraf görülmektedir.
Şekilde şifreleme sistemimizi kullanan iki kişi gösterilmektedir. Bir taraf şifreleyen (Ali) diğer taraf ise şifreyi açan
(Bekir) taraf olarak kabul edilsin.
Örneğin yukarıdaki senaryoda Ali ve Bekir, İnternet gibi güvensiz ve saldırılara açık bir ortam üzerinden konuşmak istiyor olsunlar ve mesajlarını şifreleyerek görüşmek istesinler. Simetrik şifreleme sistemlerinin ilk aşaması sistemin kurulmasıdır. Bu aşama bazı şifreleme sistemlerinde sadece bir anahtarın iki taraf tarafından bilinmesi kadar basitken bazı sistemlerde karmaşık hesaplamalar sonucunda elde edilir. Örneğin en basit simetrik şifreleme yöntemlerinden birisi
olan kaydırma şifrelemesini ( shift cipher) ele alalım.
Mesajda bulunan harfler alfabetik olarak (lexiconically) anahtar kadar kaydırılır. Örneğin anahtar 2 ise her harf alfabede kendinden iki sonraki harf olacaktır (a->c , l->n veya z->b şeklinde).
Bu sistemdeki anahtarın iki taraf tarafından bilinmesi yeterlidir. Yani 2 bilgisinin bir şekilde hem şifreleyen hem de şifreyi açan kişi tarafından önceden bilinmesi sistemin kurulması aşamasıdır.
“ACTKPQPFCQMWNFCDWNWUCNKO”
mesajını alan taraf daha önceden bildiği anahtarı kullanarak mesajı açmış ve
“YARINONDAOKULDABULUSALIM” açık mesajını elde etmiştir.
5.3 Blok Şifre Tanımı
Blok şifreler, açık metni eşit uzunluktaki bloklara ayırıp, her bir bloğu bir fonksiyon yardımı ile tek tek şifreleyerek şifreli metni oluşturur.
ØGirdi olarak k-bitlik bir anahtar ve n-bitlik açık metin bloğunu alır
ØÇıktı olarak n-bitlik şifreli metin bloğu verir
Standartlaştırma
•Amerikan Milli Standartlar Burosu (NBS) bilgi güvenliğini sağlamak icin bir şifreleme algoritması geliştirmek amacıyla 1973’de proje başlattı.
•1974’te IBM tarafından finansal uygulamalar icin geliştirmiş bir şifreleme ailesi (LUCIFER) duyuruldu.
•NBS tarafından geliştirildi ve 1977’de NBS ilk standart Data Encryption Standard (DES)”i Federal Information
Processing Standard (FIPS 46) olarak duyurdu.
5.3.2 DES Döngüsü
DES (Data Encryption
Statndard) algoritması, 1970 yılında IBM tarafından geliştirilen
Lucifer algoritmasının
biraz
daha geliştirilmiş
halidir. DES 1974 yılında IBM ve NSA’nın birlikte çalışması
ile
geliştirilmiştir. Algoritmanın anahtar uzayının günün
teknolojisi karşısında küçük olması nedeniyle
algoritma artık saf hali ile kullanılmamaktadır. Değiştirilmiş halleri kullanılmaya devam
etmektedir
DES algoritması Feistel yapısında olup 16 döngüden oluşur. İlk döngü girişinden önce başlangıç permütasyonu, son döngüden sonra da başlangıç permütasyonunun tersi vardır. Başlangıç permütasyonunun güvenlik açısından bir etkisi bulunmaz. Blok uzunluğu 64 bittir. 64 bitlik anahtarın 56 biti kullanılır, diğer 8 bit eşlik biti olarak kullanılabilir. Algoritma Şekil de görünmektedir.
Parola Güvenliği
● Parolalar oluşturulurken özet algoritmaları kullanılıyor.
● Parola için tavsiye edilen uzunluk en az 16 karakter. Her bir karakter 8-bit. Toplamda en az 128-bit. Karakterler
için harfler, sayılar, semboller rastgele seçilmeli.
● Cryptool parola üreteçi (Eğitim amaçlı)
● Parolaları test yazılımları
John the Ripper
Ophcrack
SHA-1 bircok guvenlik uygulama ve protokollerinde yaygın olarak kullanılmaktadır. Guvenli olduğu duşunuluyordu fakat 2005 SHA-1 de bir guvenlik acığı bulundu. SHA-1 yapısında matematiksel bir zayıflık olma ihtimaline karşılık daha guvenli bir ozet fonksiyonu arayışına girilmeye başlandı.
Her ne kadar SHA-2 ozet fonksiyonları icin bir saldırı rapor edilmediyse de, SHA-2 fonksiyonları SHA-1 e algoritmik olarak benzemektedir.
1. Klasik kriptografi ile günümüz kriptografisini anlatınız?
2. Simetrik şifreleme nedir?
Akan Şifreler
Akan Şifreler işlevini açık metnin her bir karakterini zamanla değişen bir fonksiyona sokarak yerine getirir
Girdi olarak alınan bir anahtar (K) ve başlangıç vektörü (IV) ile üreteç mümkün olduğu kadar uzun periyotlu ve rastgele gözüken anahtar dizilerini (z1,z2,z3…) üretir ve elde ettiği anahtarı açık metinle şifreleme fonksiyonuna (h) sokarak şifreli metni elde eder.
6.2 Asimetrik Tanım
Tek Kullanımlık Şerit, simetrik şifrelerin temel aksaklığını yoğunlaştırarak sunmaktadır: anahtar yönetimi. Bütün simetrik şifrelerde anahtarların gizli ve güvenli bir kanaldan iletilmesi gerekmektedir. Bunun nedeni şifreleme anahtarının çözme anahtarıyla aynı olmasıdır. 1978 yılında Diffie ve Hellman’ın ilk asimetrik şifreleme yöntemini çıkarmalarıyla beraber şifreyazım’da yeni bir dönem başlamıştır. Asimetrik şifreleme yöntemiyle artık şifreleme ve çözme anahtarları farklıdır. Anahtarlardan birinin şifrelediğini sadece diğeri çözebilir. Anahtarlardan birine açık anahtar, diğerine gizli anahtar adı verilir; açık anahtar herkese açıklanır. Barış Ayşe‘ye bir mektup yollamak istiyorsa, önce Ayşe‘nın açık anahtarını temin edip, mesajını onunla şifreleyip Ayşe ye yollaması gerekir. Ayşe aldığı mesajı kendi gizli anahtarıyla açar. Ayşe’nin dikkat etmesi gereken tek nokta aldığı açık anahtarın gerçekten Barış’a ait olup olmadığıdır. Açık anahtar rahatça dağıtılabildiğinden, bunu sağlamanın kolay bir yolu, anahtarı bağımsız çeşitli noktalara dağıtmaktır; böylece Ayşe birden fazla yerden Barışın anahtarını temin edip doğruluyabilir.
Açık Anahtar Şifreleme Uygulamaları
Şifreleme / Deşifreleme (Encryption/Decryption)
– mesaj alıcının acık anahtarı ile şifrelenir
Dijital İmza (Digital signature)
– gonderici, mesajını (genelde mesaj ozetini) kapalı anahtarı ile şifreler
Anahtar Değişimi (Key Exchange)
– Simetrik şifreleme algoritmasının gizli anahtarını, iki taraf paylaşır. Basitce, taraflardan biri bu anahtarı belirler ve alıcının acık anahtarı ile şifreler ve alıcıya iletir.
Klasik sınav olacak: simetrik anahtarlı sistemlerden neler anlamaktayız örnek veriniz
Ötelemeden karakter dizini verilir bunu sorar
Vejinire tablosunu soracak ilerleyen haftalarda anlatılacak
Açık Anahtar Şifreleme Uygulamaları
Şifreleme / Deşifreleme (Encryption/Decryption)
– mesaj alıcının acık anahtarı ile şifrelenir
Dijital İmza (Digital signature)
– gonderici, mesajını (genelde mesaj ozetini) kapalı anahtarı ile şifreler
Anahtar Değişimi (Key Exchange)
– Simetrik şifreleme algoritmasının gizli anahtarını, iki taraf paylaşır. Basitce, taraflardan biri bu anahtarı belirler ve alıcının acık anahtarı ile şifreler ve alıcıya iletir
Kriptografi kripto analiz nedir?
Simetrik asimetrik kriptolama nedir?
Kriptografi Standartları
NIST nedir?
Açılımı; National Institute of Standards and Technology. Adından da anlaşıldığı gibi bir standart kurumudur.
Türkiye’de benzer (ne kadar benzer iş yapıyorlar, tartışılır) olarak TSE gösterilebilir. Bununla birlikte, 1901 yılında kurulmuş, Amerika’nın en eski fizik laboratuvarlarından da biridir. Genel olarak endüstriyel rekabetçiliğin olumsuzluğunu gidermek için ölçüm standartlarıyla ilgilenmektedirler. Nano düzeyde araçlardan insan yapımı olan en büyük ve karmaşık araçlara kadar ölçüm standartlarını desteklemektedirler.
FIPS (Federal Information Processing Standard) nedir?
FIPS; Türkçesi Federal Bilgi İşleme Standart’ı olan Amerika Birleşik Devletleri tarafından askeri olmayan devlet kurumları ve devletle iş yapan diğer kurumlar tarafından bilgisayar sistemlerinde kullanılması için geliştirilmiş bir standartlar bütünüdür. FIPS’in amacı tüm federal hükûmetler ve kurumların güvenlik ve iletişimde kullanacakları ortak bir standartın sağlanmasıdır.
AES – The Advanced Encryption Standart
Bilindiği üzere AES (Rijndael), simetrik şifre bloğu olup Joan Daemen ve Vincent Rijmen tarafından tasarlanmıştır. DES (Data Encryption Standart)‘in 56 bitlik küçük bir şifre bloğu olması ve giderek brute force saldırılarına karşı savunmasız kalması yeni bir standartın gerekli olduğunu gösteriyordu. AES ilk 1998 yılında duyrulup yayımlanmış, ardından 2001 yılıda (Rijndael) NIST tarafından Advanced Encryption Standart olarak seçilmiştir. Bu seçim süreci birçok farklı tasarımın elenmesinin ardından gerçekleşmiştir. NSA yarışmaya katılan tasarımların hepsini detaylı bir şekilde inceleyip NIST’e son seçimin en güvenli tasarım olması konusunda teknik destek verse de NIST NSA’den bağımsız olarak kendi kararını vermiş ve seçimini de AES’ten yana yapmıştır. Bu yüzden NSA’in AES’e ne bir katkısı ne de üzerinde bir etkisi mevcuttur denilebilir.
BİLGİ GÜVENLİĞİ
Dersin adından da anlaşılacağı üzere, ana odağımız bilginin dijital formatta olduğu bilgi güvenliği olacak. Bilgi ve iletişim teknolojilerindeki gelişmeler ile, “bilgi” sahip olduğumuz en önemli değer oldu. Değeri arttıkça, artan saldırılar ve tehditler ile “bilgi güvenliği« konusuna olan ilgi de arttı.
Tartışmalarımız şunları kapsayacak
1. bilginin kapalı bilgisayar sitemlerindeki işlenmesi ve saklanması (bilgisayar güvenliği)
2. bilginin bağlı sistemler üzerinden transferi (ağ güvenliği) Internetin uluslararası bağlantılılığının getirdikleri
sayesinde, bu iki durumun birbirine karıştığını ve ayrımlarının net yapılamadığını da unutmamak gerekmektedir.
Bilgi
Veri, kuruluşların günlük işlerinin, kayıtlarının ve birikimlerinin sonucu elde edilen ve karar verme aşamasında da kullanılabilen işlenmiş veya işlenmemiş bilgi anlamına gelmektedir. Güvenlik ise, can ve mal varlıklarının her türlü tehdit ve tehlikelerden korunması şeklinde tanımlanabilir. Bu iki tanımdan hareket ederek veri güvenliğini, verinin, toplanması, son kullanıcıya ulaşması, saklanması ve kullanımı aşamalarında her türlü tehdit ve tehlikelerden korunması, bu amaçla önceden alınacak tedbirler ve saldırı halinde yapılabilecek işlemlerin tümünü kapsayan bir disiplin olarak tanımlayabiliriz.
Veri güvenliğinin ana amacı, her türlü ortamdaki (kâğıt, disket, teyp, bilgisayar, ağ, internet vb.) verinin güvenliğini sağlamak, veri bütünlüğünü korumak ve veriye erişimi denetleyerek gizliliği ve sistem devamlılığını sağlamaktır. Burada önemli bir husus da güvenliğin kullanıcıya aşırı sınırlamalar getirmeden ancak, kullanıcı tercihlerinden de bağımsız olarak sağlanmasıdır.
İyi bir veri güvenliği, bütün güvenlik çözümlerinin bir araya getirilmesiyle oluşur. Dolayısıyla, verinin güvenliğini sağlamak için birden çok güvenlik çözümüne ihtiyaç vardır. Tek bir güvenlik çözümü veri ve bilgisayar sistemlerinin güvenliğini tam olarak sağlayamaz ve yeterli bir güvenlik sistemi olarak düşünülemez. Bu güvenlik çözümleri ilerleyen bölümlerde detaylı olarak anlatılacaktır.
Veri güvenliği günümüzde olduğu kadar geçmiş zamanlarda da büyük önem taşımıştır. Geçmişte, bilgisayar sistemleri olmadan önce ve bilgisayar sistemlerinin gelişimi ile birlikte verinin güvenliği uygulamada farklı ancak özünde benzer yöntemlerle saklanılmış ve günümüze kadar gelinmiştir. Yapılan saldırıların amaçları geçmişte ve günümüzde benzerlikler göstermektedir.
Güvenlik ve İnsan
Gartner Datapro Research şirketi tarafından yapılan araştırmanın sonuçları kurumsal bilgilerinizin nasıl, kimler tarafından tehdit edilebileceği ve zarar verilebileceği hakkında ilginç sonuçlar vermektedir. Genel kanı ilk başlarda saldırıları yapanların yaşça oldukça genç ve kendilerine ün sağlamak isteyen bilgisayar hackerları olduğu ancak son zamanlarda bunların yerlerini daha çok maddi gelir sağlamayı amaçlayan organize örgütlerin aldığı yönündedir.
Daha öncede kısaca değindiğimiz gibi bilgi güvenliği diskte, iletişim ağında, yedekleme ünitelerinde ya da başka bir yerde tutulan verilerin, programların ve her türlü bilginin korunmasıdır. Bilişim güvenliğinin temel amaçları Gizlilik, Bütünlük, Erişebilirlik, İnkâr edememe ve İzleme olarak verilebilir.
Bu amaçla geliştirilen bir güvenlik sistemi bilişim teknolojilerinde aşağıdaki hedefler doğrultusunda tasarlanmalıdır:
• Her türlü bilgi, belge ve iletişimin yetkisiz kişilerin ve üçüncü şahısların ellerine geçmesini engellemek amacıyla gizliliklerinin sağlanması,
• Kurumsal dokümanların ve bilgilerin personel hatalarından veya virüsler, Truva atları ve üçüncü şahıslar tarafından değiştirilerek bütünlüklerinin bozulmasının engellenmesi,
• Kurumsal doküman ve bilgilere sorunsuz ve zamanında erişilebilmesi ve doğal felaketler sırasında bile bilgiye
kesintisiz ulaşabilmesi,
• Şirket kaynaklarının israfının önlenerek çalışanların verimliliğinin arttırılması.
Güvenlik Yönetimi
Bilgi güvenliği (information security): Tanım
Bilginin bir varlık (asset) olarak hasarlardan korunması
Tanım ile ilgili konular
Korunması gerekli bilginin, olası hasarların ve bunların değerlerinin saptanması , Koruma adımlarının tanımı ve bunların maliyetinin saptanması
Koruma adımları :
Hasarı önleme (prevention)
Hasarı saptama (detection) : Ne zaman, nasıl, kim?
Reaksiyon gösterme (hasarı giderme, bilgiyi hasardan önceki haline getirme)
Risk analizi : %100 güvenlik yoktur..!
Koruma maliyeti, (hasar olasılığı) x (hasarın değeri)’nden küçük olmalı..!
8.1.4 Risk Yönetimi
Bilgi Güvenlik Politikalarını oluştururken ekip çalışması ve iş bölümlerinin yapılması gerekmektedir. Bu ekipler Bilgi Güvenlik Birimi, Bilgi İşlem Birimi ve kurumun diğer birimleri olarak sıralanabilir. Bu birimlerin görevleri aşağıda listelenmiştir.
Bilgi Güvenlik Biriminin Görevleri
Proje koordinasyonu,
Proje raporlama ve dokümantasyonu,
Kapsam ve detay çalışmaları için kullanılacak standartların ve uygulanacak yöntemin yer aldığı, yol gösterici dokümanların hazırlanması;
Bilgi güvenlik politikasının kapsam ve içeriğinin belirlenerek hazırlanması;
Bilgi güvenlik politikasının alt politikaları ve prosedürlerinin belirlenerek hazırlanması;
Birimlerden gelen isteklerin değerlendirilerek gerekli görülmesi durumunda proje dokümanlarına yansıtılması; Proje çalışmalarının planlanması, GAP analizi ve varlıkların belirlenmesi, sınıflandırılması, risk analizi, bilgi güvenlik
planları, iş devamlılık planları hazırlanması gibi proje aktiviteleri için kullanılacak yöntem, standartların ve yardımcı dokümanların hazırlanması;
Yapılacak çalışmalar için eğitimlerin verilmesi;
Birimlerden gelen çalışma sonuçlarının değerlendirilmesi, incelenmesi, takibi ve kontrolü;
Zaafiyet Tehdit ve Risk
ISO 27001 Bilgi Güvenliği Yönetim Sisteminin temelinde yer alan risk değerlendirmesi çalışmalarını gerçekleştirirken genellikle kalitatif (qualitative) metodolojiler kullanıyoruz.
Bu metodolojilerin, karşı karşıya olduğumuz bilgi güvenliği risklerini tutarlı bir şekilde belirlememize ve önceliklendirmemize yardımcı olmasını bekliyoruz. Fakat bu metodolojiler ile belirlenen risklerin ve bu risklerin önceliklerinin, kurumun gerçek bilgi güvenliği riskleri ile örtüşmediği durumlarla sıklıkla karşılaşıyoruz. Bu sorunun temel nedeni de genellikle kullanmakta olduğumuz risk değerlendirme metodolojisinde yatıyor.
Kullanmış olduğumuz metodolojilerin, bilgi güvenliğinin temel kavramları arasındaki ilişkilere yönelik çözümler içermesi gerekiyor. Bilgi güvenliği riskleri ile ilişkili temel kavramların ise nispeten karmaşık bir ilişkisi var: Bu karmaşık ilişki ağı zaman zaman risk değerlendirme metodolojilerinin aşırı kompleks bir hale bürünmesine yol açarken, bazen de karmaşıklığın yönetilememesi nedeni ile sonuçların tutarsız olmasına neden oluyor.
Bu ilişki ağını çözmeye çalışırken yaşadığımız bazı sorunlar:
Zafiyetleri, tehditleri ve varlıkları birbirleri ile ilişkilendirmedeki zorluklar
Bir varlıkta birden fazla zafiyetin bulunması, bir zafiyeti ise birden fazla tehditin kullanmasının getirdiği zorluklar
Risk puanlarını risk ifadelerine çevirmedeki zorluklar
Belirlenen risklere yönelik aksiyon planını çıkarmadaki zorluklar Aksiyon planında yer alan aksiyonların riskleri hangi seviyeye indireceğini öngörmedeki zorluklar
Varlıkların iş etkilerini belirlerken yaşanan zorluklar: İş etkisini belirlerken Max(G,B,E) kullanmanın getirdiği
Dezavantajlar
Tasarlayacak olduğumuz risk değerlendirme metodolojisinin yukarıdaki sorunları ortadan kaldırabilecek bir mantıksal bütünlüğe sahip olmasını sağlamamız gerekiyor.
Bilgi Güvenliğinin Temel Amacı; Veri bütünlüğünün korunması,
Yetkisiz erişimin engellenmesi,
Mahremiyet ve gizliliğin korunması
Sistemin devamlılığının sağlanmasıdır.
Tehdit:Bir sistemin veya kurumun zarar görmesine neden olan istenmeyen bir olayın arkasındaki gizli neden, olarak tanımlanabilir.
KRİPTOGRAFİ
Simetrik , asimetrik algoritmalar ve özetleme fonksiyonalrı bulunur
-Sayısal imza ve PKI
– Firewall : tanımlı olanlara izin verme olmayana geçit izni vermeme ile görevli araçtır
-Saldırı tespiti -erişim denetimi
-yedekleme -anti virüs sistemleri
ISO/IEC 27001:2005 – Bilişim Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler standardı , bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) (ISMS – Information Security Management System) kurmak, geliştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model oluşturmak amacıyla hazırlanmıştır. ISO/IEC 27001, bilgi güvenlik yönetim standardıdır.
Bu standart ISO tarafından 14 Ekim 2005 tarihinde yayınlanmış ve ISO/IEC 27000 standart serisi altında yerini almıştır. Türkiye’de ise, ISO tarafından kabul edilen, ISO/IEC 27001:2005 standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim İhtisas Grubu’nca hazırlanmış ve TSE Teknik Kurulu’nun 2 Mart 2006 tarihli toplantısında Türk Standardı olarak kabul edilerek, “TS ISO/IEC 27001 Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimleri “adıyla yayınlanmıştır.
ISO 27001 ve ISO 27002, BGYS’nin en temel standartlarıdır. BGSY’nin planlanmasının, gerçekleştirilmesini, iyileştirilmesini ve sürdürülmesi için uygulama işlemlerini ve kontrollerini ISO 27002 içerirken; BGYS’nin belgelendirilmesi için gereken standartlarsa ISO 27001’de yer almaktadır. ISO 27001 Bilgi Teknolojisi-Güvenlik TeknikleriBilgi Güvenliği Yönetim SistemleriGereksinimler standardı kurumsal bilgi güvenliğinin sağlanmasına yönelik bir standarttır. Kurumsal bilgi güvenliğinin bir kurumda nasıl uygulanabileceğini açıklayan bir dokümandır. Sadece sistem güvenliğinden değil bilgi güvenliğinden bahsetmektedir.
270001 Bu standart, bir BGYS kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model sağlamak üzere hazırlanmıştır. BGYS yaşayan bir süreç olmak zorundadır. Bu nedenle de Standard BGYS için, planla uygula – kontrol et – önlem al (PUKÖ) döngüsünü benimsemiştir
Planlama;
Kurumun BGYS politikası, amaçları, hedefleri, prosesleri ve prosedürlerinin oluşturulur. Uygulama; BGYS’nin
gerçekleştirilmesi
ve işletilmesini yani, BGYS
politikası, kontroller, prosesler
ve prosedürlerin gerçekleştirilip
işletilmesini ifade etmektedir.
Kontrol et; BGYS’nin izlenmesi ve gözden geçirilmesi, BGYS politikası, amaçlar ve kullanım deneyimlerine göre süreç performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesini ifade etmektedir. ISO 27001’in öngördüğü bir BGYS kurmak kurumlara birçok yarar sağlayacaktır. BGYS kurma adımlarının izlenmesi sonucunda kurum her şeyden önce bilgi varlıklarının farkına varacaktır. Hangi varlıkları olduğunun ve bu varlıkların önemini anlayacaktır. Risklerini belirleyip yöneterek en önemli unsur olan iş sürekliliğini sağlayabilecektir. Bir kuruluşun ISO 27001 sertifikasına sahip olması, kurumun güvenlik risklerini bildiği, yönettiği, belli riskleri de ortadan kaldırmak için kaynak ayırdığı anlamına gelmektedir.
Erişim ve Yönetim Denetimi
Kullanıcı Erişiminin Yönetilmesi
Kullanıcı Kaydı
Bilgi sistemlerine ve servislerine erişim hakkı vermek için resmi bir kullanıcı kaydı girme ve kullanıcı kaydı silme prosedürü
olmalıdır.
Sistem kayıtları ile ilişkilendirme ve sorumlu tutulabilme açısından kullanıcı kimliklerinin her kullanıcı için farklı olmasına dikkat ediliyor olmalıdır.
Bilgi sistemini ve servisini kullanabileceğine dair sistem sahibi kullanıcıya yetki vermiş olmalıdır.
Verilen erişim hakkı kurumsal güvenlik politikasına ve görevler ayrılığı ilkesine uygun olmalıdır.
Kullanıcılara erişim hakları ile ilgili yazılı belge veriliyor ve kullanıcılardan erişim şartlarını anladıklarına ilişkin imzalı belge alınıyor olmalıdır.
Görevi değişen veya kuruluştan ayrılan personelin erişim hakları derhal güncellenmelidir.
Ayrıcalık Yönetimi
Ayrıcalıkların kullanımı sınırlandırılmış ve denetleniyor olmalıdır.
Ayrıcalıklar “kullanması gereken” prensibine göre ve resmi bir yetkilendirme süreci sonunda verilmelidir.
Kullanıcı Parola Yönetimi
Kullanıcı parolalarının atanması ya da değiştirilmesi resmi bir prosedür uyarınca yapılmalıdır. Kullanıcılara parolalarını saklı tutacaklarına dair bir anlaşma imzalatılmalıdır.
Kullanıcı Erisim Haklarının Gözden Geçirilmesi
Kullanıcı erişim haklarının düzenli aralıklarla kontrol edilmesini sağlayan resmi bir süreç olmalıdır.
Kullanıcı Sorumlulukları
Parola Kullanımı
Kullanıcı parolalarının seçilmesi ve kullanılması ile ilgili güvenlik tedbirleri uygulanmalıdır.
Sistem tarafından geçici olarak verilen parolaların kullanıcı tarafından sisteme ilk girişte değiştirilmesi sağlanmalıdır. Kullanıcılar zor kırılacak parolalar seçmeleri konusunda bilinçlendirilmiş olmalıdır.
Kişisel parolaların hiç kimse ile paylaşılmamasına, yazılı veya elektronik ortamlarda kaydedilmemesine dikkat edilmelidir.Kullanıcılar düzenli aralıklarla veya sistem güvenliği ile ilgili bir kuşku oluştuktan sonra parolalarını değiştirmeye zorlanmalıdır.Kullanıcılar kişisel işlerinde kullandıkları parolaları kuruluşun iş süreçlerinde kullanmamaları gerektiği konusunda bilinçlendirilmiş olmalılardır.
Kerberos
Güvenli olmayan bir ağ üzerinde haberleşen kaynakların, bilet mantığını kullanarak kendi kimliklerini ispatlamak suretiyle iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür. Protokolün tasarımcıları, ilk başta istemci-sunucu modelini hedef almış ve bu doğrultuda hem kullanıcının hem de sunucunun birbirlerinin kimliklerini doğrulamasını sağlayan karşılıklı kimlik doğrulama özelliğini sunmuşlardır. Kerberos protokol mesajları, izinsiz dinlemelere ve yansıtma ataklarına karşı dayanıklıdır.
kerberos simetrik anahtar şifreleme üzerine inşa edilmiştir ve güvenilir bir üçüncü doğrulayıcıya (trusted third party) ihtiyaç duyar, isteğe bağlı olarak kimlik doğrulamanın belli aşamalarında açık anahtar şifreleme modelini de kullanabilir. Kerberos varsayılan port olarak UDP 88. portu kullanır.
Kerberos, TCP/IP yapısının yeterince güvenli bulunmaması sonucu MIT tarafından geliştirilen bir ağ kimlik denetleme protokolüdür. Oracle, Apple, Google, Microsoft gibi büyük vendor firmalardan aldığı destekler ve sponsorluklarla Kerberos geliştirilmeye devam etti ve son versiyonu olan 5 ise IETF (Internet Engineering Task Force) tarafından RFC 1510 koduyla standartlaştırıldı.
1. Bilgi Güvenliği nedir ?
2. 27001 Nedir açıklayınız?
İletişim ve Ağ Güvenliği
Bir yerel alan ağını oluşturan sunucu ve istemciler kablolu ya da kablosuz olarak birbirleriyle iletişim kurabilirler. Bir ağ ortamında kullanılan sistemlerin ve bu sistemler üzerinde saklanan her türlü verinin korunması ancak etkin bir ağ güvenliği denetimi ile yapılabilir. Bu kapsamda öncelikle bir ağın güvenilirliği ile ilgili olarak Güvenilir Sistem teriminin açıklanması gerekebilir.Güvenilir Sistem, hem ağ içi haberleşmede hem de ağın dış dünya ile haberleşmesinde ağ trafik yoğunluğunun artması, içerden/dışarıdan yetkisiz erişim veya önemli bir verinin saklanması gibi durumlarda hiç bir zafiyet oluşturmadan ağ güvenliğini sağlayabilen güçlü sistemdir. Bu sistem hem kullanılan ağ cihazlarının ve hem de bu cihazlar üzerinde çalışan uygulama programlarının iyi bir konfigürasyonla seçilmesi ve çalışmasının devamı ile mümkündür. Ağ ortamında sahip olunan verilerin güvenliğinin sağlanmasında farklı kademelerde güvenlik seviyeleri uygulanır bu kademeler;
Ağa erişimi sorgulama/koruma
Ağ kaynaklarını hizmet türleri açısından koruma
Bilgisayarlara bağlantıyı sorgulama
Uygulama programları seviyesinde sorgulama/koruma
Veri kaydı düzeyinde koruma
Kayıt alanı düzeyinde koruma
Bu seviyeler sırasıyla, ağa erişimi veya ağ üzerinde ki hizmetlere erişimi denetleyen Güvenlik Duvarları (Firewall) seviyelerinden bilgisayar veya uygulama programının içine girmeyi ve en son seviyelerde de iyi bir şifreleme ve anahtarlama algoritmasının çalışmasını içeren sistemlere adım adım yaklaşmayı açıklar.Ağ güvenliğini sağlayabilmek için Güvenlik Duvarları (Firewall), Saldırı Tespit Sistemleri (IDS) ve Rol Tabanlı Erişim Kontrolleri (RBAC) kullanılabilir. Bu kapsamda ağ güvenliğini sağlamaya yönelik çözümler aşağıdaki gibi özetlenebilir.
VPN (Virtual Private Network – Sanal Özel Ağ)
Daha çok kişi veya kurumların bilgiye ulaşmak veya bilgilerini paylaşmak için belirlenmiş bir adrese internet ortamından erişimlerini sağlayan özel bir yoldur. Ve bu yol kullanılacak bir Firewall ile iki uç arasında bir kanal oluşturmak ve bu kanala girecek verilerin şifrelenmiş paketler halinde seyahatini sağlayarak yetkisiz kişilerin kullanımına engel olma mantığı üzerine bina edilmiştir.
Güvenlik Duvarı (Firewall)
Güvenlik duvarı, tek noktadan erişim denetimi ile ağı dışarıdaki kullanıcıların istifadesine belirli izinler oranında eriştiren ve böylece dışarıdan gelebilecek yetkisiz erişim veya saldırıları önleyebilen bir mekanizmadır.Güvenlik Duvarları, yazılım veya donanım tabanlı olarak gerçekleştirilebilir ve başlıca vazifeleri şunlardır.
Kullanıcı sınırlaması,
Erişim kısıtlaması (içeri ve dışarı erişim kısıtlaması)
Gözleme (içeriden dışarıya ve dışarıdan içeriye erişim gözetlemesi) Şifreleme (veri şifrelemesi veya VPN)
Adres dönüşümü yapılması (kayıtsız kayıtlı adres dönüşümü yapılması ve ağın dışarıdan gözetlenmesi)
Saldırı Tespit Sistemi (Intrusion Detection system-IDS)
IDS, İnternet veya yerel alan ağından gelebilecek ve ağdaki sistemlere zarar verebilecek, çeşitli paket ve verilerden oluşabilen saldırıları fark etmek üzere tasarlanmış bir sistemdir. Saldırıyı önceden tespit ederek engellemek, saldırı sonucu çöken bir sistemi yeniden çalışır hale getirmekten daha ekonomik ve daha az iş gücü isteyen bir çözümdür. Güvenlik Duvarı kurmak, sisteme gelebilecek zararları engellemek için yeterli değildir. Çünkü Güvenlik Duvarı içeriye girmesine izin verdiği paketin ne olduğunu bilemez. Dolayısıyla sistemin zarar görmesini engelleyemez.IDS, atak nereden gelirse gelsin önlemini almak üzere üretilmiş bir çözüm olarak, kurum içinden herhangi birisi ya da dışarıdan bir kişi veya kuruluş sisteme girdiği anda bu durumu fark etmekte ve kişinin nereden geldiği ve nereye bağlandığı sorularına ilişkin raporlamalar yapmaktadır. Ayrıca belirlenen kurallar çerçevesinde gelen saldırıları tespit ederek kısa mesaj servisi (SMS-Short Message Service), e- posta, sistem kaydı ve veritabanı gibi uyarı ve kayıt çıktıları sağlayabilir ve gerekirse Güvenlik Duvarı’na saldırı olduğuna dair uyarı sinyalleri yollayabilir.
Rol Tabanlı Erişim Sistemi (RBAC)
RBAC, bilgi ve iletişim sistemlerine erişim haklarının yönetilmesi için 1980’lerin sonlarına doğru geliştirilen bir güvenlik sistemidir. Bu güvenlik sistemi, çok büyük ağ uygulamaları için daha düşük maliyette ve daha az karmaşık güvenlik yönetimi oluşturur. RBAC, kullanıcıların rollerini ve yetkilerini tanımlayarak güvenlik yönetimini kolaylaştırır. Rol, kullanıcıların gruplanması anlamında kullanılmaktadır RBAC’ın yararları aşağıdaki gibi sıralanabilir:
Ayrı ayrı kişiler değil, roller kontrol altına alınır. Yönetim tek bir noktadandır.
Rol tanımları kurumun iş tanımlarına uygun olacak şekilde esnekleştirilebilir.
Rollerin erişim hakları çok kısa süreler içinde kolaylıkla kapatılabilir veya kaldırılabilir.
Sunucu Güvenliği
Sunucular bir bilgi işlem merkezini oluşturan en önemli parçalardandır. Her bilgi işlem merkezinde çok çeşitli sunucular vasıtasıyla İnternet erişim hizmeti, e-posta hizmeti gibi hizmetler verilir. Aynı zamanda verilerin önemli bir bölümü merkezi olarak sunucularda tutulur. Bu nedenle sunucu güvenliği en önemli hususlardan birisi, hatta önde gelenidir.
İnternet Güvenliği
Günümüz teknolojisinde kurumlarda verimliliği arttırmak, yeniliklerden haberdar olmak yolunda en önemli unsur elektronik haberleşmeden geçmektedir. Diğer bir değişle İnternet bağlantısı iş ortamında vazgeçilmez bir unsur haline gelmiştir.Kurumlar, çalışanlarına araştırma, kendilerini geliştirme ve yeniliklerden haberdar olma amacıyla İnternet’e çıkma olanağı tanımaktadır. İnternet, bilgiye erişmenin ve araştırma yapmanın en hızlı, en kolay ve en güncel yoludur. Fakat korunmasız bir ağ olduğu için her türlü saldırılara açıktır ve mutlaka güvenliğinin sağlaması gerekmektedir.
Kişisel Bilgisayar (PC) Güvenliği
1. Bilgi Güvenliğinde Hedefler nelerdir ?
2. İletişim ve Ağ Güvenliği nedir?
Mesajlaşma güvenliği
Güvenlik hedefleri
● Gizlilik: bilgiye erişim yetkisine sahiplerin erişim sağlamak
● Bütünlük: bilginin değiştirilme veya yok edilmeye karşı korunması (bilgini kaynağını doğrulayarak vb.)
● Süreklilik: Zamanında ve guvenilir şekilde bilgi kullanımının sağlanması
● Kimlik denetimi: kulllanıcıların iddia ettikleri kullanıcılar olduğunun ve bir sisteme erişen verinin guvenilir kaynaktan geldiğinin kontrolü.
● İnkar edilememezlik: oluşturulan kanıtlar yardımıyla veri gonderen veya alanın veri aktarımı veya alımı yaptığını inkar etmesini engellemek.
● İzlenebilirlik: bir guvenlik ihlali yapıldığında sorumlusunu ortaya çıkarmak için kullanıcı işlemlerinin takibinin yapılmasının sağlanması
Uygulama ve Sistem Güvenliği
YAZILIM
Bir bilgisayarda donanıma hayat veren ve bilgi işlemde kullanılan programlar, yordamlar, programlama dilleri ve belgelemelerin tümüdür.
Yazılım kod yazmak, tasarım yapmak değildir
Yazılımın hem üretim, hem de kullanım süreci boyunca geçirdiği tüm aşamalar olarak tanımlanabilir.
Geçmişte yazılım geliştirmede başvurulan iş akış şemaları gibi yöntemler özellikle güvenlik odaklı olmadıklarından günümüzde gereksinimleri karşılayamaz hale gelmiş ve etkinliklerini yitirmişlerdir.
Yazılım geliştirmede erken bir süreçte farkına varılan yazılım açıklıklarının düzeltilmesinin daha ileri süreçlerde farkına varılan açıklıklara göre daha az maliyetli olacağı yazılım endüstrisince yaygın olarak kabul edilen bir ilkedir.
Güvenli yazılım geliştirme sürecinde ele alınması gereken temel olarak dokuz ana güvenlik konusu vardır;
1. Girdi Geçerleme (Input Validation)
2. Kimlik Doğrulama (Authentication)
3. Yetkilendirme (Authorization)
4. Konfigürasyon Yönetimi (Configuration Management)
5. Hassas Bilgi (Sensitive Information)
6. Kriptografi (Cryptograhy)
7. Parametre Manipülasyonu (Parameter Manipulations)
8. Hata Yönetimi (Exception Management)
9. Kayıt Tutma ve Denetim (Logging and Auditing)
YAZILIM GÜVENLİĞİ
Yazılımın her aşamasında güvenliğe ilişkin ortaya çıkabilecek problemleri gözeten etkin bir geliştirme süreci sonuç ürünün daha güvenilir olmasına önemli katkı sağlayacaktır.
12. YAZILIM GELİŞTİRME AŞAMALARI
Yazılım mühendisliğindeki diğer modellere temel teşkil eden “Çağlayan Modeli (Waterfall Model)” yazılım yaşam döngüsünü analiz, tasarım, kodlama, test ve bakım olmak üzere beş aşamada ele almaktadır.
Yazılım Geliştirme Modelleri
Şelale Modeli (Waterfall Model )
Proje yönetim modelleri genelde şelale modeli (waterfall model) ile başlar. Yazılım mühendisliğinde ilk anlatılan modellerden birisi budur. Şelale modeli çok daha statiktir. Örneğin bir köprü yapılacak. İstanbul’da boğaz içi köprüsü yapıldı ve 10’larca yıldır hiç değişmiyor, ne beklentide farklılıklar var, ne sistemde. Kimse, köprüye her hafta yeni bir kat çıkalım, şerit sayısını arttıralım, altından daha büyük gemiler geçeceği için köprüyü biraz daha yükseltelim demiyor ve hele hele bunu her hafta her gün talep etmek gibi bir dinamiklik yok. Ancak yazılım projelerinde bütün bunları görebilirsiniz. Bazan projenin yeniden oluşturulmasına kadar giden taleplerin arka arkaya aynı gün içerisinde geldiği bile olur. Oysaki boğaz köprüsü yıllardır hiç değişmeyen bir projedir. Şelale modeli bu projeler için uygun bir modeldir. Ama yazılım dünyası böyle değil. Yazılım projelerinde her 5-10 dakikada bir yeni fikir gelebiliyor. Şelale modeli yazılım projeleri için en kötü yaklaşımlardan birisidir denilebilir. Yine de ilk olması ve basit olması ve diğer yaklaşımlara temel teşkil etmesi açısından önemlidir.
Fıskiye Modeli
Fıskiye modeli şelale modelinden öykünerek oluşturulmuş bir modeldir. Henderson-Sellers and Edwards tarafından geliştirilmiş bir modeldir. Şelale modelinden farkı, döngüleri vardır. Döngüler şeklinde her bir aşamada belli döngüler elde edilir. Tasarım aşamasında tekrar koddan tasarıma dönülmesi, tasarımdan istek analizlerine geri dönülmesi ve operasyona geçtikten sonra testlere geri dönülmesi gibi döngülere sahiptir. Maintenance (bakım) ve evolation (kriterler) belirleniyor. Bu yaklaşımda şelale modelindeki adımları görülebilir.
Spiral Model
Spiral model, diğer modellerden farklı olarak süreci oluşturan aşamalardan tekrar tekrar geçilmesini ve her geçişte projenin ilerleme kat etmesini hedeflemektedir. Örneğin projenin her döngüde yeni bir prototip çıkararak toplam 3 prototip ve dolayısıyla 3 döngüde ilerlemesi isteniyorsa, içeriden dışarıya doğru giden bir spiral şeklinde proje aşamalarında ilerlenerek dönülmelidir. Prototip model literatüre 1980’li yıllarda kazandırılmıştır.
Örnek Sorular
Uygulama ve Sistem Güvenliği nedir örnek veriniz ? Yazılım Geliştirme Modellerinden 3 tanesini açıklayınız ?